李新社
工业和信息化部网络安全产业发展中心副主任
方兴东
浙江大学社会治理研究院首席专家
薛军
北京大学法学院教授
王利明
中国法学会副会长、中国人民大学教授
孙轩
南开大学数字城市治理实验室主任、计算社会科学实验室副主任
许可
对外经贸大学数字经济与法律创新研究中心主任
谢鸿飞
中国社会科学院法学研究所民法研究室主任、中国社科院大学博导
11月1日,《个人信息保护法》正式施行。这是一部保护公民个人信息的专门法律,与《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。
近日,围绕我国在个人信息保护和数据安全方面的现状、存在的短板以及如何加强保护等议题,新京智库联合中国法学交流基金会新兴产业发展及法治环境建设专项基金共同举办主题为“《个人信息保护法》落地实施,如何用好这个‘法’”的研讨会,来自北京大学、中国社科院及工业和信息化部网络安全产业发展中心等机构的相关专家参与研讨。
以具体典型案例推动规则落地
新京智库:《个人信息保护法》实施后将发挥哪些作用?如何落实到位?
王利明:《个人信息保护法》要和《民法典》相结合,才能够形成有效适用的一个规则体系。事实上《个人信息保护法》对于个人信息保护规则仍然有限,还有大量的保护规则,必须要从《民法典》里去寻找,所以《民法典》才是兜底性法律。例如,精神损害赔偿,禁令制度等等,《个人信息保护法》就没有具体规定。凡是在《个人信息保护法》里面找不到的保护规则,都得回归到《民法典》去寻找。有人认为《个人信息保护法》已经足以满足对个人信息保护的规定,那这个理解显然是不妥当的,不利于对个人信息的全面有效保护。
薛军:《个人信息保护法》的立意非常好,但它的一些规则还需要去明确和细化。在实施中,可以通过一些具体典型案例来推动规则落地。比如手机的运动数据,单独来看其未必就一定要被界定为个人信息。
现在一些手机名义上叫手机,但实际上是虚拟机。有些网络黑灰产集团利用这种虚拟机来薅羊毛,商家和平台深恶痛绝。对此,一个很重要的识别方法就是收集手机的运动数据,来分析其是否属于正常的收集。但如果要经过用户同意才能收集数据,那“羊毛党”通过设置,平台可能就收集不到这些数据,从而影响通过这种方法来识别一些与“猫池”里的虚拟机关联的黑灰产账号。某种意义上这样会损害商业效率。
这就说明在界定个人信息的范围时,一定要根据现实的情况,基于良好的利益衡量来进行界定。通过具体的类似于杭州野生动物园刷脸入园案、微信读书案等个案的精细打磨,慢慢把诸如个人信息的范围和分类的问题具体化,落实下来。在这个过程中,法院是一个很好的抓手,监管部门的专项治理活动等也能发挥积极作用。同时,消协等组织也要发挥积极作用。
《个人信息保护法》的出台,尽管提供了一个很好的法律框架,但目前仍然存在一些问题,需要进一步通过条例、法院裁判规则等加以完善、填充和落地。
《个人信息保护法》的有些条款比较粗线条、框架性,实操性不够;有些则是存在多种理解方式。这些对企业的实际运营而言,都有非常大的影响。
比如该法中一方面强调,企业在为用户提供服务前,要让用户明确是否同意采集个人信息;但同时又规定,如果用户拒绝同意,企业依然需要为用户提供服务。
这对企业而言就是一个难题。因为有些软件的功能,缺乏相应的个人信息是无法正常运行的。值得注意的是,该法更多地体现了监管思维,结合中国当前的语境,其实需要更多地从民法的视角、从损害赔偿的角度,从受害者救济的角度出发。
谢鸿飞:个人信息的损害赔偿是需要及时跟上的必要环节。如果缺乏相应的损害赔偿,那么对于企业而言,可能会将与之相关的大量成本外部化,而非企业本身消化。
《民法典》明确了隐私信息,《个人信息保护法》明确了敏感信息,但在这些之外还存在一般信息。这些信息应不应该保护,保护到何种程度,是个很大问题。尤其是,当这些一般信息被泄露,却既不构成隐私权的损害,也不构成财产权或人格权的损害时,能否从民法上找到对应的损害,就是个问题了。
而在诸如电信诈骗的案例中,受损人无法确定是谁导致了个人信息被泄露,到目前为止,没有看到有个人主动提起诉讼的案例。尽管检察机关有代表受害人提起一些公益诉讼,但这些诉讼的诉求主要是赔礼道歉和删除个人信息等,没有见到有关任何赔偿的内容。这些手段都只是防御、保护性手段。
法律体系要综合运用起来,行政监管和司法必须齐头并进。目前来看,法律的适用或者执法过程中,偏重于行政监管。在目前存在大量个人信息违法的情况下,仅依靠行政监管发挥很大作用是不太现实的。
促进数字经济相关产业发展
新京智库:《个人信息保护法》实施对相关产业将带来什么影响?
李新社:过去,我们不知道平台或者是应用提供方收集了哪些数据,收集这些数据的目的是什么,他们怎么利用这些数据。《个人信息保护法》出台后,明确了不能过度收集无关的个人信息。《个人信息保护法》《数据安全法》的出现,对于产业的推动作用是明显的。
比如,过去人们去酒店住店,要刷脸、要身份证等信息,这些信息都保存在酒店。现在已经有公司在做第三方认证。以后,可能顾客在酒店住店的时候,酒店只需要确认站在面前的这个人是真实存在的,而不需要了解其他个人信息。从产业的角度来讲,这推动了安全产业的发展。
《个人信息保护法》出台实施,一方面提醒了广大消费者注意个人信息,也提醒了企业不能按照过去的玩法过度收集个人信息。从产业发展的角度来讲,又催生了第三方验证,保障信息不泄露、不被滥用等。因此,《个人信息保护法》的意义是相当大的。
许可:《个人信息保护法》绝不只是个人信息保护的法律,还是一部促进数字经济发展的法律。
在过去几年,企业存在着滥用个人信息的行为。但另一方面也要注意到,当数据成为新的生产要素,成为数字经济推动力的时候,个人经过数据化加工后的信息,也成为其中重要的生产要素。对此,企业实际上也是可以利用的,但非常重要的是,要给企业很重要的激励,让其摒弃滥用和错误的利用,走向正确的利用。这要进一步明确合规免责边界,推动企业用个人信息做好事,而不是做坏事。
《个人信息保护法》第13条,在《民法典》的基础之上,增加了六项个人信息处理的正当性事由,体现出在平衡个人信息保护和数字经济发展上非常重要的考量。第13条因此也被称为《个人信息保护法》的法眼之所在。所以这部法律是推动中国数字经济健康稳健发展的重要基础。
孙轩:个人信息保护需要负面“处罚”与正面“引导”相结合。除了注意个人信息安全的制度,也可考虑个人信息合法合规利用的疏导。比如对公司、企业是否可以进行使用个人信息的评价体系。如果一个企业使用个人信息非常规范,符合《个人信息保护法》等法规要求,可将其评为“五星”,而做得差的企业,会面临淘汰压力。
方兴东:过去中国互联网行业的发展是“隐私驱动”型的。《个人信息保护法》等法律实施后,会推动互联网行业回归到以科技创新驱动的正常轨道。此外,这还将有助于中国互联网的全球化。互联网巨头必须在个人信息保护方面达到欧美标准,才可能在国外合法经营,持续发展,真正实现全球化。
中国互联网巨头要经历一个估值的重新调整,这个过程跟这些法律会直接相关。目前的几次专项治理行动并不是调整的长期因素,而这些法律会是一个长期的因素。
新法普及增加的企业成本需内部消化
新京智库:企业在网络安全和个人信息保护方面做得如何?今后有哪些新要求?
许可:《个人信息保护法》是一部对企业经营发展非常重要的法律规范。比如,以营业额5%的金额处罚,比欧盟GDPR的4%还要高,这会是一个非常大的威慑。政府对互联网企业采取强监管的态势,这使得企业将高度重视个人信息保护工作。
《个人信息保护法》实施之后,对企业也提出了一些新的运营要求。比如“单独同意”原则,之前无论是《网络安全法》,还是《信息安全技术个人信息安全规范》,都没有涉及“单独同意”规则。这次针对高风险的个人信息处理行为,比如将个人信息向第三方提供,涉及敏感个人信息,个人信息的公开等,都需要经过个人的“单独同意”。
各个企业内部需要进一步去完善自己的合规体系,有一些企业要设立个人信息保护负责人,一些超大企业要设立个人信息保护委员会,还有的要根据算法要求设立算法隔离委员会等。这些都成为企业落实《个人信息保护法》重要的一环。
《个人信息保护法》是中国对于个人信息保护的一个非常郑重的声明。“这具有积极的信号作用,反映了我国保护个人信息的一种决心。”
《个人信息保护法》第11条指出,形成一个政府、企业、社会组织、公众共同参与的个人信息保护的体系,这种各方共同参与的个人信息保护体系也是落实《个人信息保护法》的核心。
相关社会组织可发挥作用。首先,一些行业协会可以发挥标准制定的作用。其次,通过行业形成一些值得学习和借鉴的最佳实践。再者,科技的发展推动最近几年相关的技术得到大量关注。从根本上来说,个人信息的保护来自于科技的完善、发展,这也是解决个人信息保护的重要途径。
公众参与也很重要。公众并不是个人信息的弱者,公众某种意义上说是个人信息能不能被收集的关卡。对公众来说,第一要提升个人信息的素养,不要把一些信息轻易交出去。一些预装的软件、一些明显来源不明的网址不要去打开。第二,《个人信息保护法》充分提升了个人信息的权益,包括查询、查阅、更正、删除、可转移等一系列的权益。个人可以积极去行使这些权益,保护自己在数字空间中的个人信息。第三,适当的情况下,公众可以向相关监管机构提起举报甚至可以发起民事诉讼。
李新社:从保护的角度来讲,《个人信息保护法》起到了保护作用;从产业角度来讲,推动了一些技术创新。
谢鸿飞:《个人信息保护法》肯定会增加一些运行成本,但这是企业必须承担的。《个人信息保护法》规定的一些行为规范,企业在数据合规方面的一些义务,是有利于个人利益和公共利益的。对企业来说,这部分成本应该内部消化,而不应该由外部来消化。
薛军:作为市场主体,企业对于生效的法律都有遵守、落实的责任,这是不容置疑的。但企业普遍存在的一个潜在担忧是,是否会存在某种形式的劣币驱逐良币问题?因为《个人信息保护法》的大量规定,缺乏可操作性的规定,这可能使得一些企业处于观望状态,要看看友商是怎么做的,看看竞争对手是怎么做的。因为对企业而言,做数据合规的成本是很高的,如果大家不是处于同一合规水准之上,做得好的企业,反而可能构成对其市场竞争力的伤害。
我相信企业并没有去做违法行为的内在动力,很多人认为企业好像不监管就一定会违法,其实是不客观的。企业的行为模式其实是服从于市场竞争的逻辑,当企业明确知道某一法律的执行,将会是严格的、公平的,不具有任何选择性的,这时他们都会认真遵守法律。但是当法律的执行带有选择性或者模糊不清的问题时,企业在经营时就可能心存侥幸,主要还是担心自己合规而别人不合规,从而在市场竞争中处于劣势。从这个角度看,执法标准的公平、透明以及统一是极端重要的,是培养企业合规文化的基础。
李新社:如果企业严格遵守了行业规范,但是与商业利益之间存在冲突该怎么办?所以需要在遵纪守法的前提下推动企业发展,这才是立法的根本要求。如果立法后,企业什么都不干了,或者不能干了,不发展了,那就是有问题的。
《个人信息保护法》等一系列法规出台后,企业一方面不能再用过去的思维无限度地扩大自身收集数据的权利。另一方面,企业还需要在法律规范框架内,收集数据、应用等,而且还要做得比原来更好,推动产业发展。
这一方面取决于企业遵纪守法的过程,同时还有一个监管的过程,不能说法律规范出台后企业就会自动去遵守。怎么监管,如何利用监管平台?对企业持续经营、产业长足发展来说,这都是一个挑战。
从政府角度而言,如何在法律出台之后,能够健康快速推进产业长足的发展,也是值得关注的。因为数据是将来社会的基础资源,个人信息作为数据的一部分,也会成为社会资源的一部分。企业如何利用好这些资源给社会创造更大的财富,这需要一个过程。
许可:有句话说,100次普法不如一次执法。相信在未来两到三个月会有一系列的相关执法行动。
孙轩:随着数字化时代的到来,我们还要考虑怎样基于算法、程序、考评机制等塑造一个全新的数字化社会。即我们一方面要不断完善法律规范,另一方面又要提供一系列服务,执法与服务并举,创建一个更加完善的市场机制以促进经济的发展。当然,很多内容还需要政府、社会、企业来共同合作完成。
国外企业在合规下的经营经验值得借鉴
新京智库:国外在个人信息、数据安全方面有哪些值得借鉴的地方?
薛军:相关法律的适用需要注意一些具体的语境,要考虑国家合规经营的土壤,更要与政府的法治水平相适应。不能把国外一些个人信息保护的问题和相应的做法,跟国内进行简单的横向比较,如果不重视国内的具体情况,单纯把国外的制度挪用过来,有很大的风险性。
谢鸿飞:每个国家都必须考虑自己本土的政治、经济、文化等的情况,但是我们也必须承认,在个人信息保护这个领域,中国和其他国家也有一些共同的地方,这个时候参考域外法的一些方案,还是有启发意义的。
孙轩:欧美国家在个人信息保护问题上的态度一直是比较明确的,执法力度也非常大,使得整个社会都形成了一种产业、行业的自觉性,就是有意识、主动地保护个人隐私。
颁布法律主要是提供一种行为准绳、行为准则,国外的这种个人信息保护的文化值得我们学习。
方兴东:《个人信息保护法》在很多方面借鉴了欧盟《通用数据保护条例》(GDPR)。中国要像过去几十年学习美国的技术创新能力一样,认真学习欧洲在个人信息保护方面的制度创新能力,这不仅直接决定了我们在此方面的更新速度,甚至还决定未来在这方面赶超速度的快慢。
李新社:对企业来说,需要学习借鉴欧盟企业如何在合规的情况下合理合法地做经营。GDPR颁布之后,很多企业为了合规性在内部做了大量的技术改造工作。这就是法律最终对于市场和发展的一些影响,这是值得中国企业借鉴的。从数据安全角度来讲,我们也应该考虑哪些问题会对国家安全产生影响。这方面西方有些实践对中国有借鉴意义。
许可:中国的《个人信息保护法》对应欧盟来看,有两个非常重要的特点,一个是很多条款过于原则,缺乏可操作性,需要未来出台更细的规则加以补充和落实。第二是没有贯彻基于风险的规制思路,最典型的问题就是对于去标识化的个人信息,没有给予风险减免。
中国可以借鉴韩国和新加坡相关立法,这些国家在某种程度上是吸收了很多欧洲国家的个人信息保护做法,同时又增加了促进数字经济发展的行业规制。
典型的例子就是新加坡对于个人信息保护增加了一个非常重要的合理性事由,那就是基于创新的个人信息的使用。对于企业来说,如果真的是创新活动,就可以使用个人信息。
方兴东:《个人信息保护法》本质上并不是仅仅为了解决当前面临的一些问题,最核心的还是面向未来,这是人类在数字时代面临的共同机遇和挑战。中国在借鉴其他国家经验的同时,并不妨碍突出中国的特色,更不影响中国以后站在别人的肩膀之上去贡献制度创新。
新京报记者 郑伟彬 柯锐 肖隆平 查志远
(李显杰 )